[发明专利]基于API接口的防刷方法及装置

说明书

本发明提供一种基于API接口的防刷方法及装置，方法包括：根据用户调用的API接口的访问顺序与API接口预设访问顺序的匹配结果，对用户的API接口调用请求进行校验；若校验失败，则拒绝用户的API接口调用请求。所述装置用于执行上述方法。本发明提供的基于API接口的防刷方法及装置，通过对用户的上下文访问控制，有效防范恶意用户的非法调用，大幅提高后台服务的安全性。

技术领域

本发明涉及通信技术领域，尤其涉及一种基于API接口的防刷方法及装置。

背景技术

如今，互联网已成为人们生活中不可或缺的工具，各行各业都在进行电子化，网络服务的本质是各种后台API接口提供的功能，于是就出现了越来越多的恶意用户和不法分子为了实现非法获利或其他目的对API接口进行攻击和破解，所以现在对API接口服务的安全性要求越来越高。

现有技术中针对上述问题，常用处理方案如下：

1)通过后台接口访问次数控制及黑名单过滤的方法屏蔽非法请求。

2)通过时间戳+随机数+参数签名的方式防止抓包复制请求参数或数据篡改。

方案1)仍旧无法解决恶意用户可随意伪造多个账号信息直接轮询攻击服务的问题。

方案2)缺少对短时间大批量接口访问的限制，可能因为短时间内并发请求超过系统最大处理能力而导致系统瘫痪，也没有对恶意用户的访问的限制。

发明内容

本发明提供的基于API接口的防刷方法及装置，用于克服现有技术中存在的上述问题，能够通过对用户的上下文访问控制，有效防范恶意用户的非法调用，大幅提高后台服务的安全性。

本发明提供的一种基于API接口的防刷方法，包括：

根据用户调用的API接口的访问顺序与API接口预设访问顺序的匹配结果，对用户的API接口调用请求进行校验；

若校验失败，则拒绝所述用户的API接口调用请求。

根据本发明提供的一种基于API接口的防刷方法，

所述API接口预设访问顺序通过如下方式确定：

根据与所述API接口对应的Web页面类型和Web页面层次关系对所有API接口进行顺序标注，以获取所述API接口预设访问顺序。

根据本发明提供的一种基于API接口的防刷方法，在所述根据用户调用的API接口的访问顺序与API接口预设访问顺序的匹配结果，对用户的API接口调用请求进行校验之前，包括：

对所述用户进行身份认证，并在身份认证通过后，对所述用户的API接口调用请求的参数进行校验；

若校验通过，则将所述用户调用的API接口的访问顺序与所述API接口预设访问顺序进行匹配。

根据本发明提供的一种基于API接口的防刷方法，还包括：

根据所述匹配结果，对用户的当前信用分进行更新；

若确定更新后的用户的信用分低于预设信用分阈值，则将所述用户加入黑名单，并拒绝黑名单用户的API接口调用请求。

根据本发明提供的一种基于API接口的防刷方法，所述对用户的当前信用分进行更新，包括：

若匹配结果表明，所述用户调用的API接口的访问顺序为非法访问，则将所述用户的当前信用分减去第一预设值，以对所述用户的当前信用分进行更新；

若匹配结果表明，所述用户调用的API接口的访问顺序为合法访问，则将所述用户的当前信用分增加第二预设值，以对所述用户的当前信用分进行更新。